Trend Micro: кіберзлочинне угруповання TA505 запустило нові кампанії з шкідливим ПЗ Gelup-FlowerPipp

13:10
Trend Micro: кіберзлочинне угруповання TA505 запустило нові кампанії з шкідливим ПЗ Gelup-FlowerPipp

   Кіберзлочинне угруповання TA505 запустило нові кампанії в різних країнах з шкідливими програмами Gelup і FlowerPippi. Вони були виявлені експертами Trend Micro. Цілями є країни Близького Сходу, Азії та всього світу. 

   Перший шкідливий код експлуатує обхід контролю облікових записів користувачів (UAC) і працює як завантажувач для інших загроз. Інструмент також використовує пакувальник FlawedAmmyy, троян віддаленого доступу, з попередніх кампаній. Другий, FlowerPippi (Backdoor.Win32.FLOWERPIPPI.A), це новий бекдор, який використовувався в кампаніях проти цілей в Японії, Індії та Аргентині.

   TA505 була націлена на країни Близького Сходу в кампанії 11 червня, яка доставила більше 90% від загальної кількості спам-листів в ОАЕ, Саудівську Аравію і Марокко. Вони містили вкладення файлів .html або .xls.

   У кампанії, націленої на Японію, Філіппіни і Аргентину 20 червня, — виявили те, що здається новим, нерозкритим шкідливим ПЗ, яке дослідники назвали Gelup. Для упаковки деяких варіантів шкідливого коду використовувався пакувальник — той же, що використовувався TA505. Розпаковане корисне навантаження написане на C ++ і в основному працює як завантажувач для іншого шкідливого ПЗ. Відміна Gelup, це його метод заплутування і функція обходу UAC шляхом шахрайства з довіреними каталогами (підробка шляху виконання файлу в довіреному каталозі), зловживання виконуваними файлами з автоматичним підвищенням прав і використанням сторонньої бібліотеки динамічних посилань (DLL). завантажувальна техніка. Gelup підтримує методи, які можуть стримувати статичний і динамічний аналіз.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.